一、网络攻防实验室建设背景
1.1市场人才需求分析
网络技术的发展在创造了便捷性的同时,也把数以十亿计的用户带入了一个两难的境地,一方面,国家和政府依赖网络维持政治、经济、文化、军事等各项活动的正常运转,企业用户依赖网络进行技术创新和市场拓展,个人用户依赖网络进行信息交互;另一方面,网络中存储、处理和传输的都是事关国家安全、企业及个人的机密信息或是敏感信息,因此成为敌对势力、不法分子的攻击目标。这种不安全的态势在可见的未来绝对不会平息,而是会持续发展,逐渐渗透到物联网、智能移动网、云网络等新兴的网络空间。
网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学,覆盖了计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等,是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。所以,网络安全是一项复杂且艰巨的任务,需要相关从业人员具备相对较高的素质,既要能高瞻远瞩,对各种威胁做到防患于未然,又要能对各种突发安全事件做出应急响应,把影响和危害减到最小。针对国外的敌对势力及技术封锁,如何建立基于网络安全、自主知识产权下的网络有效管理,也是我国面临的重要课题。培养高精尖信息安全人才对于维护我国的信息主权、全面参与全球经济竞争及经济安全和国家安全至关重要。
在我国,高等院校及各类高职高专是网络安全专业人才的培养基地。网络攻击与防护是网络安全的核心内容,也是国内外各个高校信息安全相关专业的重点教学内容。网络攻击与防护具有工程性、实践性的特点,对课程设计和综合实训提出了更高的实验环境要求。
1.2 建设网络安全实验室必要性
学校如果只开设了网络安全方面的专业课程的学习,而没有网络安全实验室作为实习场所,那么学习理论化的知识,犹如纸上谈兵,严重影响人才培养的质量。建设网络安全实验室,不但能为学生提供良好的硬件资源,而且能大大提高科学研究及学科建设水平,提高办学层次,为培养信息安全高级人才提供有力保证,所以我院非常有必要建设一个现代化,真实化的网络安全实验室。
网络攻防是网络安全相关专业教学体系中的核心部分。网络攻防课程是网络安全相关专业的核心课程和主干课程。网络攻防课程在总体上的特点是技术性和实践性强。坚持理论联系实际,才能真正掌握这些知识。通过学习网络攻防,学生将可以了解网络安全的威胁,掌握入侵检测技术、安全防护技术以及应急响应机制等基本安全技术,可以为信息系统的设计和实现提供网络安全防御机制,从系统的整个生命周期考虑网络安全问题。
目前,我国大部分高校开设的网络攻防课程(或相关课程)的主要内容包括:网络应用服务安全、防火墙、入侵检测、虚拟专用网、网络攻击与防护等,其中网络攻击与防护是应用性、实践性、综合性最强的一部分核心内容。学生要很好地掌握这些内容,除了课堂学习,主要通过实验的实际操作来加深理解和掌握工程性技能。
然而仅仅使用个别的、松散的、不连贯的实验在特定环境下来验证所学知识、掌握工具的使用技能,是显然无法满足我国高校网络安全教学中突出综合性、真实性、实用性、开放性及实践性的需求,还需要通过综合型的网络攻防实训来将零散的知识应用到实际的渗透测试当中,已达到真正的发散性、创新性及学以致用的实训目的。因此,引入专业的网络攻防实战系统是十分重要和必要的。
二、网络攻防实验室设计思路
2.1实验室建设难点
网络攻防在信息安全教学当中占据相当重要的地位,但作为教学者来看,开展相关的实验却遇到了很多难点,只要我想法克服相关的困难才能使们实验教学更上一个层次,目前主要面临的问题如下:
1、网络攻防实验需要真实的环境,开展实验需要大量的网络设备及服务器,
在国内目前形成一个大规模的真实的实验室,付出的成本是非常的昂贵,所以经费是目前网络攻防实验室第一个难点;
2、网络攻防实验,是一个不太容易被可视化的实验,往往在做实验当中难以
评估学生的学习情况,攻防分析及相关的评估对一个教学者来说,是非常的重要,攻防的效果评估,分析也成为了一个实验难点;
2.2实验室总体思路
实验建设思路一方面要考虑建设成本,另一方面更要考虑攻击评估;我们通过多年的调研建议学校采用软硬件结合的方式,来建设性价比相对合理的实验平台;在硬件方面,采用可大规模生成网络设备及目标主机的设备,一方面提升了网络环境的复杂性,使实验环境更加的真实,另一方面采用后台有着强大分析功能的系统,可对攻防过程,攻击结果、攻防次数、攻防的手段进行实时的分析,并可以以图表形式展现出来,并对现有的服务器环境进行评估,评估网络环境安全性能;
从实验层面考虑,最好以循序渐进方法来进行实验,从练兵,到任务,到真实演练,至最后的网络对抗,从入门到深入,从攻到防,从防到科研的方式来进行实验,具体如下图:
网络攻防平台总体架构
2.3实验室布置设计
在如今发达的网络环境当中,单兵作战已经无法达到预计的目的,所以很多时候都是一个团队一起发起攻击,并有分工,有计划性的攻击,所以在建设实验环境是也应结合真实的情况,建议采用分组的方式进行建设,一个标准的实验室如:一个实验班级有42个学生,可分为7个实验组,每组分别有一套VPN、防火墙、IDS、交换机、路由器;每组可安排6个学生进行实验,这样可同时安排
42个学生进行网络相关的实验课程,以小组的形式,可培养学生的团队合作能力;对于大三大四学生,可以小组合作方式,进行网络对抗实验。
如下图:
实验室平面布置图
实验室效果图
三、推荐系统“红亚科技ReaDeTack”
3.1系统结构
网络攻防实验平台RealDeTack 是红亚科技和北京邮电大学信息安全中心多年积累的教学实践和科研成果为基础开发而成,网络攻击实验系统是大多数学生都感兴趣的内容,RealDeTack系统支持的实验内容时充分反映了网络攻击技术的最新技术水平和成果。同时,基于RealDeTack系统构建的网络具备相当的灵活性,既可满足多人同时独立攻击的需要,也便于实验老师根据教学的需要随时改变配置。
网络攻防RealDeTack平台包括硬件和软件两大部分:
①硬件设备:攻防平台管理控制器、数据管理设备、智能网关生成器、目
标主机生成器、物理蜜罐。
②软件平台:网络攻防任务生成系统、网络攻防靶场系统、网络攻击分析
系统、网络攻防评估系统、实验客户端、网络攻防实验工具箱、CVE标
准的安全漏洞库。
系统架构图
